Контакты
Подписка 2026

Краткий дайджест новинок в области безопасной разработки

Денис Якимов, 25/01/21

Мир программной разработки стремительно развивается, и его сегмент, представляющий инструменты для контроля и повышения безопасности выпускаемого программного обеспечения, старается не отставать от насущных потребностей рынка. Представляю вашему вниманию дайджест наиболее интересных, с моей точки зрения, событий за последние недели.

Автор: Денис Якимов, ведущий телеграм-канала @sec_devops

Сборник практик по безопасности Cloud Native-приложений

Фонд CNCF выпустил сборник лучших практик по части безопасности Cloud Native-приложений1, рассчитанный на CTO и CISO. Если посмотреть на оглавление документа, можно заметить, что затронуто много вопросов:

  • SSDL вместе с разными способами тестирования;
  • защита артефактов;
  • Run-Time-безопасность;
  • контроль доступа;
  • моделирование угроз.

И хотя конкретики представлено не очень много, документ определенно может стать хорошей отправной точкой для быстрого погружения в тему Cloud Native-приложений.

Спрос на специалистов в области AppSec растет, а следом растет и спрос на тех, кто понимает и умеет применять DevSecOps.

Инструменты для оценки надежности проектов Open Source

Open Source Security Foundation выпустила набор инструментов под названием Security Scorecard2 для автоматизации анализа и принятия решений об использовании Open Source-проектов на платформе GitHub. Security Scorecard выполняет набор проверок, отвечая, в частности, на вопросы:

  • присутствует ли в проекте политика безопасности;
  • использует ли проект статические анализаторы кода (например, CodeQL);
  • использует ли проект OSS-Fuzz от Google;
  • выпускался ли новый релиз и коммит за последние 90 дней;
  • подписываются ли релизы;
  • являются ли контрибьюторы членами разных организаций.

Результат каждой проверки оценивается по десятибалльной шкале, где 0 означает "невозможно получить ответ", а 10 – "инструмент уверен в результате".

CVE Benchmark для сравнения SAST-инструментов

OpenSSF также выпустила проект OpenSSF CVE Benchmark3. Основная цель проекта – сравнение инструментов класса SAST при сканировании на реальных кодовых базах, в которых была найдена CVE, до и после патча. CVE Benchmark запускает поддерживаемые SAST-анализаторы – ESLint, NodeJSScan и CodeQL для различных Оpen Source-проектов, расположенных на GitHub и использующих JavaScript или TypeScript. После сканирования автоматически генерируется сравнительная таблица с указанием на выявленные ложные срабатывания. В планах – добавление новых инструментов и поддержка большего количества уязвимостей.

Кстати, похожий проект четыре года назад делала команда OWASP. Они написали более 2 тыс. тестовых кейсов на Java и запустили для них различные SASTи DAST-инструменты, включая коммерческие инструменты. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репозиторий.

Kubernetes Threat Modeling Simulator

Kubernetes Threat Modeling Simulator4 – тестовый стенд, на котором можно попрактиковаться в реализации различных сценариев атаки и защиты в Kubernetes. Сюда входят атаки на секреты, RBAC (Role-Based Access Control), Etcd и многое другое. В случае, если что-то не получается, можно воспользоваться подсказками сервиса.

Для получения теоретической базы можно ознакомиться с K8s Attack Tree5 – это набор сценариев различных атак в виде деревьев на базе методологии моделирования угроз STRIDE, а также с известным проектом ATT&CK Matrix Kubernetes6.

CloudSecDocs

Один из замечательных инженеров, Марко Ланчини, за активностью которого слежу, открыл проект cloudsecdocs.com – это большая Интернет-энциклопедия по безопасности облаков.

Вот что уже можно в ней прочитать:

  • Secure SDLC: сканеры, работа с секретами, Compliance as Code, лабы, моделирование угроз, метрики, логирование.
  • Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим.
  • Моделирование угроз для Docker и Kubernetes.
  • Опиcание RBAC.
  • Описание важных компонентов с точки зрения безопасности Kubernetes.
  • Атаки на контейнеры и пентест.
  • Компоненты AWS и Azure, а также их защита.
  • Угрозы и методология тестирования облаков.

  1. https://github.com/cncf/sig-security/blob/master/securitywhitepaper/CNCF_cloud-native-security-whitepaper-Nov2020.pdf 
  2. https://github.com/ossf/scorecard 
  3. https://openssf.org/blog/2020/12/09/introducing-the-openssfcve-benchmark/ 
  4. https://github.com/kubernetes-simulator/simulator 
  5. https://github.com/cncf/financial-user-group/tree/master/projects/k8s-threat-model 
  6. https://www.microsoft.com/security/blog/2020/04/02/attackmatrix-kubernetes/ 
Темы:Безопасная разработкаDevSecOpsAppSec
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • SafeERP – новая архитектура защиты бизнес-приложений
    Римма Кулешова, менеджер продукта SafeERP компании “Газинформсервис”
    Признание ERP-систем частью КИИ меняет подход к безопасности бизнес-приложений. На первый план выходят вопросы непрерывного контроля, управления рисками и прозрачности процессов внутри 1С и SAP. Римма Кулешова рассказывает о новой модели защиты ERP и о том, почему безопасность бизнес-логики становится отдельным направлением ИБ.
  • ИИ в аудите смарт-контрактов и проблема масштаба
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Смарт-контракты пишутся быстрее, чем их успевают нормально проверять. Ошибки при этом каждый раз разные – от простых просчетов в логике до сложных сценариев с оракулами и внешними протоколами. Разбор каждого инцидента занимает время, а их становится все больше и больше. В какой-то момент проблема сводится уже не к сложности, а к объему: ручной аудит не успевает покрывать все, что появляется.
  • Когда платформа становится безопаснее, чем безопасник
    Александр Трифанов, руководитель направления Application Security, "Авито"
    В крупных компаниях стало слишком много инженерии. Команды растут, микросервисы множатся, инфраструктура усложняется, а вместе с ней – и стоимость ее поддержки. Поэтому идея внутренних платформ выглядит естественным ответом на хаос. То, что раньше требовало согласований и ручных настроек, теперь превращается в сервис – Platform as a Service, Publication as a Service, Admin as a Service.
  • Как инструменты разработки становятся средствами для кражи криптоактивов
    Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера “Шард”
    Количество атак на цепочку поставок программного обеспечения в прошлом году выросло на 156% по сравнению с годом ранее, по данным исследования Sonatype. Разберемся, как эта угроза проявляет себя в мире криптовалют, и почему привычные инструменты разработчика становятся орудием злоумышленников.
  • Почему DevSecOps не приживается в АСУ ТП и MES – и как его адаптировать
    Артем Пузанков, руководитель группы внедрения практик безопасной разработки Positive Technologies
    Внедрение DevSecOps стало нормой для ИТ-разработки, однако в промышленных системах этот подход сталкивается с серьезными ограничениями. Приоритеты в этих средах – надежность, непрерывность работы и соблюдение отраслевых стандартов – изначально противоречат динамике CI/CD и гибкости DevOps. Дополнительные препятствия создают закрытые контуры, устаревшие технологии и фрагментированная структура ответственности.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...